אני כותב המון על אבטחה ומשתדל שגם האתר הזה מאובטח. בדף הזה אני מפרט על מדיניות האבטחה שלי באתר הזה ואיך לדווח על פרצה וגם איך לבדוק את הפרצות.
אבטחת האתר
קוד: האתר בנוי על וורדפרס ותוספים. באתר הזה לא רץ קוד שכתבתי למעט התאמות CSS. התוספים הם תוספים פופולריים, עם יותר ממאה אלף הורדות כל אחד. התבנית היא פוג׳ו שגם היא מאוד פופולרית. אני משתמש גם באלמנטור פרו. מערכת הוורדפרס, התוספים והתבנית מעודכנים באופן אוטומטי ברגע שמגיע עדכון.
הוורדפרס הוקשח באופן הבא: סגירת ממשק הניהול, סגירת ה- wp-json וממשקים נוספים שנותנים מידע, הפעלת פיירוול, הפעלת הגנה ברוט פורס על ממשק הניהול.
שרת: השרת הוא שרת Lightsail באמאזון ועם image של bitnami. ללא הפתעות גדולות במיוחד ובלי custom shit. רק האתר הזה מתאחסן במכונה.
אבטחת החשבונות: שימוש במנהל ססמאות לכל החשבונות הקשורים באתר ואימות דו שלבי באחסנת האתר ושם המתחם שלו וכמובן גם אמאזון.
מסד נתונים: גיבויים יומיים עם אמזון וגם עם תוסף גיבוי ששולח ישירות לדרופבוקס שלי.
שמירת נתונים: אני לא שומר נתונים של גולשים באפליקצית הוורדפרס. אפילו ה-IP שנשמרים באתר מעורבלים. אני שומר נתונים של אלו שעושים subsribe. מייל ושם.
מה מותר לעשות כשאתם בודקים את האתר
חוקרי אבטחה המעונינים לבדוק את אבטחת האתר באופן אפליקטיבי יכולים לבצע איזו בדיקה ידנית שבא להם. ולהריץ כל כלי שהוא על האפליקציה.
למה רק על האפליקציה? השרת נמצא באחסון אמזון ושימוש בהתקפות המבוססות על עומס עלולות להזיק לאתר. אם מישהו רוצה ממש לנסות התקפה שעלולה להזיק/להפריע/ליצור עומס על השרת, שיצור איתי קשר ואתן לו עותק של מסד הנתונים (ללא נתוני משתמשים) והקוד כדי שיריץ את זה על שרת לוקלי.
אני מצהיר בזאת שלא אגיש תלונה במשטרה על פעילות של חוקרי אבטחה בעלי כובע לבן שבוחנים את אבטחת האתר האפליקטיבית בתנאים האלו. אם מישהו רוצה מכתב הסמכה מסודר לפני הבדיקה, ניתן לפנות אלי ולקבל מכתב כזה.
איך יוצרים איתי קשר במידה ויש חשש לחולשה או פירצת אבטחה
ניתן ליצור איתי קשר במייל: [email protected] או בטלגרם: rbarzik כדי לדווח על כל בעיית אבטחה. נא לציין בבירור בתחילת הפניה שמדובר בענייני אבטחה. אין לי תוכנית באג באונטי אבל אני אשמח לפרסם ולהודות באופן אישי על כל פרסום חולשה – גם האיזוטרית ביותר (כביכול).